TTA 간행물 - ICT Standard Weekly

> 표준화 참여 > TTA간행물 > ICT Standard Weekly

기술표준이슈

다운로드 (2017-30호)
트위터 페이스북 미투데이

[정보보안] FIDO Alliance의 새로운 Authenticator 인증레벨 제도, 2017년 하반기 실시

New Template

FIDO(Fast IDentity Online, 온라인 신원 인증ㆍ확인) Alliance에서는 2017년 하반기부터  새로운 인증프로그램을 시행할 것으로 보인다. 현재까지 FIDO Alliance에서는 기능성 테스트라는 명목으로 인증자(Authenticator로 지문/홍채 솔루션), 클라이언트(ex.스마트폰), 그리고 서버(ex.페이팔)간 상호운영성 테스트(Interoperability Test)를 진행해오고 있다. 2017.5월 현재 초당입출력(IOP : Input/Output Processor) Test를 통해 인증받은 전세계 Product 343개를 넘었다. 글로벌업계가 2016년부터 인증을 본격적으로 받기시작해서 이를 상용화한 제품들이 올해와 내년에 걸쳐 많이 출시될 것으로 예상된다.

 

 

FIDO 솔루션 인증관련한 통계수치를 들여다보면 다소 놀라운 사실을 발견할 수 있다.

2017 1월 글로벌피디社(대표 홍동표)가 분석한 자료에 의하면, FIDO Alliance 전체 가입회원사별 국가 규모를 보면, 미국계 회사 (83개사, 32%)에 이어 두번째로 한국회사 규모(36개사, 14%)가 큰 것을 알 수 있다. 또한, FIDO 인증 규모를 봐도 한국이 전체 인증 제품의 약45%를 차지하면서 두번째로 큰 미국(13%)에 비해서 압도적으로 많은 수의 인증을 취득하였음을 알 수 있다. 나름 선전하고 있는 중국, 일본, 유럽국가들을 큰 차이로 앞서고 있으나 국내 시장규모의 한계로 FIDO 인증을 받은 국내기업들은 올해, 내년에 걸쳐 글로벌 진출이 절대적으로 필요한 시점이라 할 수 있다. 이러한 상황에서 FIDO Alliance는 지난 5 9일부터 스페인 바르셀로나에서 개최된 정기총회를 통해 새로운 인증레벨제도 시행을 공개하였다.

이 제도는 모바일솔루션 중심의 FIDO1.0에서 PC의 웹 브라우저까지 확장된 개념의 FIDO 2.0이 등장하면서 다양해진 Authenticator 들과 다른 서버간 신뢰도 확보를 위함이다. , FIDO 2.0부터는 USB뿐 아니라 웨어러블 제품이나 스마트폰까지도 Authenticator로 활용범위가 넓어지게 된다.

IoT(Internet of Things, 사물인터넷)가 본격화되면서 스마트폰이 여러 기기간의 인증을 해결하는 인증의 통로(Nexus)’로의  Authenticator가 되는 /시점이 온 것이다. 따라서 보다 폭 넓어진 Authenticator의 보안성, 편리성 (Authenticator Security requirement)을 확보하면서 이를 서버와 안전하게 communication을 담보할 수 있는 새로운 인증프로그램이 필요해진 것이다. FIDO Alliance에서는 올해 시험적으로 우선 Level1Level 2만을 시험적으로 운영할 예정으로 Level2Level 1 + 추가적인 보안사항을 확보해야만 한다.

Level 1FIDO Alliance 주관으로 인증Test 및 승인을 담당하지만, Level 2부터는 FIDO Alliance가 인정한 로컬 3rd Party시험인증소 (Accredited Security Laboratory)별로 인증Test 및 승인을 맡아서 하게 된다. 우리나라는 현재 TTA가 유일하다.

 

 

 [Level 1]

Level1Authenticator가 기본적인 외부공격에 대한 방어능력이 있는지를 확인한다. AuthenticatorSecurity Parameter들이 효과적으로 보호되면서 Authenticator Application이 잘 동작하는지 등을 평가한다. Level1이 기존 FIDO IOP 인증이라고 보면 된다. Level1certification feeFIDO 멤버사일 경우, 5천불이다

 

[Level 2]

Level 2 Level1 보다 더 큰 외부 소프트웨어 공격(malware)에 대한 방어능력을 평가하게 된다. 또한 FIDO에서 허가한 Operating Environment와 허가된 Cryptography lists를 포함 해야 한다. , AuthenticatorRestricted Operating Environment(ROE)를 가지지않은 Pure Rich OS software가 탑재되거나 Attestation을 지원하지 않는 AuthenticatorLevel 2를 부여 받을 수 없게 된다. Level 2certification fee 1만불 수준이며 (FIDO 멤버기준), Accredited lab 비용은 별도로 지불해야한다

 

Level 3 4부터는 추가적으로 물리적인 attack에도 영향을 받지 않아야 해당인증을 받을 수 있다.

 

Authenticator Certification 절차는 아래와 같다.

[Authenticator Certification 절차]

 

1. Preparation

  - FIDO에서 요구하는 기본적인 document는 사전 작성

  - Level 2를 준비하는 vendor라면 FIDO Accredited Lab과 사전 접촉하여 NDA체결 및 계약체결 할 것을 권유

2. Functional Certification Requirements

  - FIDO Authenticator Certification 신청을 하기에 앞서

  - Vendor AuthenticatorFIDO Certification requirement 사항을 완료해야 함

    (Conformance Self-Validation과 상호운영성 Test도 포함됨)

3. Authenticator Certification 신청

  - Certification Application 작성 후 제출하면 FIDO 소속의 Certification Secretariat가 검토 후 결과 통보

4. Security Evaluation

  - Vendor questionnaire검토와 Test Procedure를 진행

  *Level 1FIDO에서 주관

  *Level 2Accredited Lab에서 주관하고 그 review결과를 FIDO에 통보

5. Report review

6. Certification Issuance

7. Trademark Usage (Optional)

 

결론적으로, FIDO Alliance에서 올 하반기 시행하는 New Certification 프로그램은 기존보다 비용이 더 들고 높은 인증레벨을 받기 위해 인적, 시간적 리소스가 추가로 투입되는 등 vendor들에게 부담이 될 수 있다. 하지만 향후 기존 다른 글로벌 인증처럼 필수처럼 요구될 수 있으며, 그렇지않다 하더라도 제품과 회사마케팅 전개 측면에서 유리할 수 있다. 특히 FIDO 인증을 받은 국내 기존업체들의 경우에는 글로벌 진출 및 글로벌 고객을 위한 또 다른 투자로서 상기 인증 취득에 적극적일 필요가 있을 것으로 판단된다.

홍동표 (글로벌피디 CEO, dongpyo@theglobalpd.com)

* 본 글은 저자의 의견일 뿐 TTA 기관의 입장과는 무관합니다.